1

Configurao Inicial
Nesse capitulo, iremos abordar:

Aplicando configuraes bsicas em General Setup

Identificando e atribuindo interfaces
Configurando a Interface WAN
Configurando a Interface LAN
Configurando Interfaces Opcionais
Habilitando o Secure Shell (SSH)
Gerando Chaves RSA Autorizada
Configurando o SSH com autenticao de Chave RSA
Acessando por Secure Shell (SSH)

Introduo
PfSense um sistema operacional de cdigo aberto usado para transformar o computador em um
firewall, roteador. PfSense uma distribuio FreeBSD feita com base no projeto m0n0wall, uma distribuio
de firewall poderoso e leve. PfSense se baseia basicamente em m0n0wall e toma decises de todas as suas
funes, e foi adicionado mais uma variedade de servios de rede mais usadas.

Nesse capitulo iremos abordar as definies bsicas para implantao do PfSense; sendo um firewall,
roteador, ou at mesmo um AP sem fio! Uma vez o PfSense instalado e configurado de acordo com o descrito
nesse captulo, voc vai ter um firewall operacional q vai alm de um roteador. Em seu nvel mais bsico, uma
maquina PfSense pode ser usado para substituir um roteador domestico com a funcionalidade que deseja. Em
configuraes mais avanadas, PfSense pode ser usado para estabelecer um tnel seguro para um escritrio
remoto, equilbrio de carga de trfego. Existem realmente centenas de formas de se configurar um PfSense.

1
Uma vez o PfSense instalado, h duas maneiras de acessar o servidor remotamente, SSH e os WebGUI, uma
conexo SSH voc iria ver o menu igual ao visto se voc plugasse o monitor no servidor, no menu de opes
do SSH so bsicas e muito pouca configurao feita aqui. Toda configurao descrita em cada capitulo do
livro feita atravs da interface WebGUI, que pode ser acessada atravs do endereo de ip de qualquer
interface que voc configurou durante a instalao (como 192.168.1.1)

Aplicando Configuraes bsicas em

General Setup
Nessa receita iremos abordar configuraes bsicas feita no PfSense.

Se preparando...
Tudo que preciso pra fazer as configuraes uma base de instalado bem feita e acesso ao WebGUI.
Algumas dessas configuraes podem ter sido configuradas durante a instalao mas nada impede que possa
ser modificada a qualquer momento.

Em uma nova instalao as credencias de acesso padro:

Usurio: admin
Senha: pfsense

Como fazer
1. V em System | General Setup.
2. Digite um Hostname. Esse nome ser usado pra acessar a maquina pelo nome e no pelo endereo de
IP. Por exemplo podemos acessar digitando apenas http://pfsense em vez de http://192.168.1.1:

3. Digite o domnio em Domain.

2
 4. Servidores de DNS podem ser especificados aqui. Por padro o PfSense vai atuar como DNS primrio e
esses campos ficaro em branco. Mas voc pode usar outros servidores de DNS. Consulte o DNS
alternativo no Capitulo 2 Servios Essenciais, para maiores informaes.

5. Marcar Allow DNS server list to be overridden by DHCP/PPP on WAN. Isso garante que todas as
solicitaes de DNS que no so resolvidas internamente, vo passar a ser resolvidas pelo servidor de
DNS do seu provedor ISP.

6. Digite o Fuso Horrio em Time Zone e deixe o padro NTP time server como 0.pfsense.pool.ntp.org.

7. Eu recomendo o Tema padro, Pfsense 2.0 o novo pfsense_ng. Os menus do topo agora so estticos e
no vai desaparecer se voc percorrer o contedo da pgina.

Veja tambm...
Configurando DNS Forwarder no capitulo 2 Servios Essenciais.
Especificando DNS alternativo no capitulo 2 Servios Essenciais.

Identificando e atribuindo as Interfaces

Aqui vamos descrever como identificar e atribuir as configuraes apropriadas para cada interface no
Pfsense.

3
Se Preparando...
Voc precisa identificar o endereo MAC de cada placa Ethernet no seu PfSense antes de atribuir as
interfaces.

Como faz-lo...
1. Acessar o console da maquina fsica atravs do monitor ou ativar o SSH acessando remotamente (Veja
ativando o Secure Shell(SSH) para mais detalhes).
2. A tela inicial exibir uma lista de interfaces, portas de rede e endereo de IP.

3. Escolha a opo 1 Assign Interfaces.

4. Pule a configurao de VLANs agora. Veja a criao de VLANs no Capitulo 5 Servios Essenciais para
mais informao.

4
 5. Atribuir para cada interface, a interface de sua escolha correspondente ao endereo MAC para cada
endereo da interface na tela.

A capacidade de configurar apenas uma interface novo para o PfSense 2.0, sendo que nas verses
anteriores era preciso WAN e LAN.

Como ele funciona...

PfSense como qualquer outro sistema operacional para computador, usa referencia pra cada Placa de
Rede atribuindo valor nico pra cada interface (fxp0, em0, em1, e assim por diante). Esses identificadores
esto associados ao driver identificado pelo sistema para tornar fcil a nossa identificao na hora de associar
o MAC (00:80:0c:12:01:52). Sendo assim uma interface um nome dado a cada porta Ethernet: fxp0=WAN,
LAN=em0, em1=DMZ, e assim por diante.

5
H mais...
Agora voc sabe qual porta esta direcionada pra qual interface, voc pode gerenciar as futuras
mudanas atravs do WebGUI. Indo at Interfaces | (assign).

Veja tambm...
O acessando o Secure Shell em SSH
O configurando interface WAN
O configurando interface LAN
O configurando Interface Opcional

Configurando WAN interface

Aqui vamos aprender a configurar o Wide Area Network (WAN) na interface externa do nosso firewall.

Se Preparando...
A interface WAN que conecta seu firewall a internet. Voc vai precisar configurar corretamente a
WAN interface (como foi feito no capitulo anterior) pra uma conexo com a internet. No exemplo q vamos
usar um modem a cabo fornece acesso internet, mas o PfSense pode fazer outros tipos de conexo.

Como faz-lo...
1. V at Interfaces | WAN.
2. Marque Enable Interface.
3. Escolha o tipo de configurao de endereo em Type.
4. Deixe em branco o MAC address. Voc s vai precisar inserir endereo MAC se for usar o spoofing. O
seu provedor no pode verificar seus endereos MAC, ento atribuindo manualmente voc vai forcar o
Provedor fornecer um IP ou um conjunto diferente de DNS.
5. Deixe MTU, MSS, Hostname, e Alias IP Address em branco.

6
6. Marque Block private networks. Essa configurao normalmente marcada em uma s WAN
interface.
7. Marque Block bogon networks. Essa configurao normalmente marcada em uma s WAN interface.
8. Clique em Save.

7
Como ele funciona...
Devemos primeiro criar uma conexo com a internet antes de comearmos a configurar o PfSense e
permitir q a rede conecte a internet atravs dele. Se colocarmos o nosso firewall como nica maquina com
acesso direto a internet, estamos garantindo um ambiente seguro, estabelecendo um controle completo
sobre o trafego que flui dentro e fora da rede, toda o trafego deve passar agora pelo nosso firewall e respeitar
as nossas regras.

H Mais...
Agora podemos conectar o cabo de rede do modem na interface WAN que definimos na configurao
anterior do PfSense. Uma vez conectado o cabo de rede, podemos verificar o status de conexo na porta WAN
em Status | Interfaces:

Veja tambm...
O Identificando a Atribuindo as interfaces
O configurando interface LAN
O configurando interface opcional

Configurando a Interface LAN

Aqui vamos aprender a configurar o Local Area Network (LAN) interface interna do nosso firewall.

8
Se Preparando...
A interface LAN usada pra conectar seus dispositivos internos em uma rede interna segura.
necessrio configurar a interface LAN corretamente.

Como faz-lo...
1. V at Interface | Lan.
2. Marque Enable Interface.
3. Escolha a configurao de endereo em Type.
4. Digite seu ip em IP address e mascara de subrede. Deixe Gatway em None.

5. Deixe Block privates network e Block bogon networks desmarcadas.

6. Clique em Save.

9
Como ele funciona
Voc acabou de configurar sua primeira rede interna. Se voc fez a configurao de acordo com o livro,
agora voc j conhece os requisitos mnimos para um bom funcionamento de um firewall! Voc j definiu
uma rede externa (WAN) e uma rede interna (LAN). Agora voc pode definir as regras de trafego entre os
dois.

H Mais...
Agora voc pode conectar o cabo de rede da rede interna na interface LAN do seu PfSense. Isso
permitira q voc se conecte aos computadores da rede interna.

Veja tambm...
O Identificando a Atribuindo as interfaces
O configurando interface WAN
O configurando interface opcional

Configurando Interface Opcional

Aqui iremos descrever como criar e atribuir interface de rede opcional no nosso firewall.

Se Preparando...
A rede opcional que voc vai criar nesse exemplo, se refere a uma DMZ. A ideia de usar Zona Militar
Desmilitarizada de permitir a passagem de trafego direta ou no. A ideia do DMZ e controlada separada de
outras reas, se aplica DMZ nesse exemplo:

Trafego de internet | DMZ Trafego rede interna

O trafego de internet inseguro permitido entrar na DMZ, para acessar um servidor web por exemplo.
O trafego da Lan tambm pode entrar na DMZ se quiser acessar o servidor web tambm. No entanto o ponto
chave fica na ultima regra no permitindo a entrada de DMZ na rede interna.

A rede DMZ a rede menos segura, vamos permitir acesso externo s a determinado IP, para
configurar uma DMZ ou qualquer outra rede opcional, vamos precisar de outra interface disponvel.

Como faz-lo...
1. V at uma interface disponvel, Interfaces | OPT1
2. Marque Enable Interface.
3. Em Description digite DMZ.
4. Escolha a configurao de endereo em Type, no exemplo foi escolhido Static.
5. Digite em IP Address o ip e selecione o tipo de mascara. Usaremos o 192.168.2.1 e selecione o tipo de
mascara a partir de 24 na lista.
6. Deixe Gatway em None.

10
 7. Deixe Block privates networks e Block bogon networks desmarcados.
8. Clique em Save.

9. Clique em Apply Changes.

Como ele funciona

Sua rede DMZ vai permitir acesso externo (WAN). Sua DMZ tambm permitira acesso a partir da LAN,
mas no tero permisso de enviar trafego para LAN. Isso ir permitir que as requisies vindas da internet
para acessar recursos do seu DMZ (websites, e-mail, assim por diante) no enxerguem sua rede interna (LAN).

11
H mais...
Agora voc pode conectar um switch ligado interface DMZ para se conectar em varias maquinas. Iria
ficar como o diagrama a seguir:

Veja tambm...
O Identificando a Atribuindo as interfaces
O configurando interface WAN
O configurando interface LAN

Habilitando o Secure Shell (SSH)

Aqui iremos descrever como habilitar o Secure Shell (SSH) no PfSense.

12
Se preparando...
SSH um protocolo de rede que permite q comunicao criptografada entre dois dispositivos.
Ativando o SSH permiti acesso seguro para o console do PfSense remotamente, como se voc estivesse
sentado na frente do servidor com o PfSense.

Como faz-lo...
1. V at System | Advanced | Secure Shell.
2. Marque Enable Secure Shell.
3. Voce sera solicitado a fornecer credenciais quando voc se conectar remotamente por SSH (use o
mesmo nome de usurio e senha que voc conecta por WebGUI), voc pode marcar Disable password
login for Secure Shell. Isso ira permitir q voc use chave RSA, veja mais a frente para maiores
informaes.
4. Deixe SSH Port em branco, que vai ser usado porta padro 22.

5. Clique em Save que o servio de SSH eh habilitado automaticamente.

Como ele funciona...

Ativando o Secure Shell SSH permiti ao PfSense ouvir as requisies da porta 22 ou a porta que voc
especificar em SSH Port.

Assim como todos os servios. O servio SSH ir ouvir em cada interface disponvel. Assim como outros
servios, regras de firewall so usadas para permitir ou bloquear acesso a esses servios. Consulte o Capitulo 3
Configuraes Geral, para obter mais informaes de como configurar regras de firewall.

H mais...
Mudando o mtodo de autenticao do SSH para usar chaves RSA uma tima maneira de proteger
acesso ao seu sistema. Veja abaixo para mais detalhes.

Alm disso voc pode alterar a porta em que o servidor escuta o SSH. Fazendo isso voc pode
aumentar a segurana ainda mais do seu sistema, reduzindo o numero de tentativas de login no autorizado,
mas preciso se lembrar da porta que voc alterou se no, no ir poder se conectar novamente.

Veja tambm...
O Gerando Chaves autorizadas RSA
O Criando regras de firewall no Capitulo 3 Configuraes Geral

13